Monitorización para evitar el hijacking DNS

Monitorización para evitar el hijacking DNS, el hijacking DNS es algo que puede tener un impacto en la marca muy grande, además de ser el predecesor de ataques como por ejemplo un phishing dirigido, o poner malware en la supuesta página legítima.

Es por eso que es muy importante ser advertidos en el caso de un ataque de estas características. En el mercado existen diferentes herramientas comerciales y los proveedores ya se encargan de ofrecer este tipo de servicios.

Índice

Monitorización para evitar el hijacking DNS ¿Como funcionaría el ataque?

Monitorización para evitar el hijacking DNS
imagen de gohacking

Efectivamente se ataca al servidor DNS para conseguir el objetivo.

La herramienta que nos puede servir es dnshjmon. Bajamos la herramienta con git

git clone https://github.com/corelan/dnshjmon

Habrá que configurar varios ficheros antes de usar la herramienta.

Modificamos el fichero nameservers.conf

2

Aquí deberemos de poner contra que servidores DNS haremos las comprobaciones. Pueden ser DNS propios o DNS como los de Google por ejemplo.

Modificamos el archivo dnshjmon_dns.conf

3

Como sabemos de antemano que direcciones IP están configuradas, solo deberemos de indicarlas en el fichero de configuración.

Si abrimos el fichero podemos ver que está configurado para enviar correos cuando suceden ciertos eventos.

4

Una vez configurado, ejecutamos dnshjmon

5

La herramienta detecta que es la primera vez que la usamos y por lo tanto no tiene fichero de configuración. Lo configuramos con los parámetros de nuestro servidor de correo.

6

Una vez que se ha configurado el servidor de correo hará una comprobación de la dirección IP que hemos querido asegurar.

7

El script creará un fichero de configuración con los datos que hemos proporcionado.

Monitorización para evitar el hijacking DNS

Cuando la dirección IP cambie, la herramienta nos lo notificará con un correo electrónico.

11

Aquí tenemos el aviso de que la dirección había cambiado.

Notas

1)-Para detectar los cambios tenemos que ejecutar el script por lo que deberemos de configurarlo en el crontab.

2)-La contraseña se almacena en texto claro, una próxima actualización del script sería hacer algún SALT para almacenarla.

Subir